På Tradera pågår intensiv auktionsaktivitet dygnet runt. Sajten är en av Sveriges populäraste köp/sälj-marknader för privatpersoner och har genom åren byggt upp ett gott renommé. Sådana platser lockar alltid till sig bedragare, och genom åren har den Paypal-ägda webbsidan gjort stora framsteg med att säkra de många transaktioner som äger rum varje dag.

Men för den grundläggande kontosäkerheten finns det fortfarande förbättringspotential. Det blev den mångårige användaren Fredrik Wessén varse om när hans konto kapades och fejkauktioner började publiceras i hans namn. Strax innan incidenten hade Fredriks konto redan varit föremål för en granskning av Tradera. Flera auktioner plockades då bort – problemet var bara att dessa var hans egna och fullt legitima.

2017: Allvarlig säkerhetslucka hos Tradera – flera konton kapade

Förklaringen från Tradera var att man misstänkte obehörig inloggning på kontot. Fredrik antog att ett misstag skett, eftersom han ofta loggar in på tjänsten från flera olika enheter. Han återfick sitt konto efter en legitimering via Bank-ID och i mejlen kom en länk som skulle låta honom skapa ett nytt lösenord. Denna ledde dock bara rätt in på Tradera-sajten – inget tvingande byte av lösenord genomfördes över huvud taget.

"Grattis till försäljningen!"

Inget lösenord blev bytt den gången. Två veckor senare får Fredrik en notifikation i sin Apple Watch om en lyckad försäljning – som han inte tagit initiativ till. Någon höll alltså som bäst på att utnyttja hans goda säljarbetyg för att kränga förmodat icke-existerande prylar.

Fredrik kastade sig över datorn. Han varnade köparen som lagt det vinnande budet, bytte lösenord, polisanmälde incidenten och skrev direkt till Traderas avdelning för kontomissbruk. Därefter tog det hela 12 timmar innan han fick hjälp. Trots lösenordsbytet förblev därför både han – och troligtvis även bedragaren – inloggade på kontot över natten.

I det här skedet kommer PC för Alla i kontakt med Fredrik Wessén. Han är förbluffad över att en sajt av Traderas storlek kan ha sådana brister i kontosäkerheten.

– Bedragaren hade alltså haft fortsatt åtkomst till mitt konto i över 12 timmar efter lösenordsbytet. Det hade kanske kunnat bli längre tid om jag själv inte ringt Tradera och bett dem skynda på processen att spärra kontot. Under tiden kunde ytterligare bedrägerier begåtts, menar han.

Att konton på olika nättjänster kapas händer många svenskar varje dag, vilket i sig knappast har något nyhetsvärde. Men i fallet med Tradera sticker ett par saker ut som får oss att höja ett ögonbryn:

  • Trots att Fredrik bytte lösenord förblev han inloggad via dator och appen i telefonen. Ingen funktion för att att logga ut från alla sidor fanns implementerad (den kom ett par veckor senare).
     
  • Inget tvingande byte av lösenord genomförs när Tradera larmar om intrång och låser kontot. 
     
  • Tradera frågar bara efter användarnamn och lösenord vid inloggningar. Ingen form av tvåstegsverifiering finns tillgänglig för användarna.

Säkerhetschefen: Vi är inte nöjda förrän siffran är noll

Vi hör av oss till Niclas Hjelm, som är säkerhetsansvarig på Tradera. Han berättar att man hela tiden tittar på möjligheter för att förbättra rutinerna hos den egna säkerhetspersonalen, samtidigt som olika lösningar utforskas på teknisk väg.

– Om vi misstänker att någon obehörig fått tillgång till ett användarkonto på sajten spärrar vi kontot tillfälligt tills vi tillsammans med kontoinnehavaren kan reda ut situationen. I dessa fall ska medlemmen alltid uppmanas att byta sitt lösenord.

Om Fredrik tvingats byta lösenord i samband med den första incidenten hade han sannolikt besparats den huvudvärk som följde ett par veckor senare.

– Givet den situation du beskrivit behöver vi se över om ett tvingande lösenordsbyte är något vi borde införa, uppger Niclas Hjelm.

Logga ut
"Logga ut mig överallt"-funktionen kan ses som en slags panikknapp, perfekt att använda om du misstänker att någon obehörig utnyttjar ditt konto. Den används i allt större utsträckning på olika nättjänster.

Även på vår fråga om varför Tradera saknar "logga ut mig överallt"-funktion kommer det ett positivt svar.

– Detta är en funktion som just nu är under utveckling. Vi har själva identifierat ett fåtal situationer som liknar den du beskrivit för mig under den senaste månaden. Detta, tillsammans med vårt fokusområde att skapa bättre förutsättningar för våra medlemmar att själva skydda sig och sitt konto ligger till grund för funktionen. Den är planerad att lanseras under nästa vecka.

Redan dagen efter att vi först fick kontakt med Niclas Hjelm på Tradera hör han av sig igen och meddelar att "logga ut mig överallt"-funktionen nu finns på plats.

Varför skyddar ni inte inloggningar med tvåstegsverifiering, på samma sätt som vid transaktioner?
– Vi har sedan 2016 använt Bank-ID på plattformen. Vi ber en användare att verifiera sin identitet vid olika tillfällen när man använder sajten, till exempel för att byta utbetalningskonto, ändring av vissa uppgifter på kontot samt innan din första försäljning.

Niclas Hjelm berättar också att man då och då tvingar fram en identifiering på alla säljarkonton.

– Vissa riskbeteenden genererar nya krav på verifiering, detta kan vara om vi upptäcker en ovanlig inloggning eller om lösenordet ändras på kontot. Då behöver kontot Bank-ID-verifieras på nytt innan det går att sälja något från kontot.

Pwned
En vanlig orsak till kontokapningar är att inloggningsuppgifter sålts vidare efter större intrång mot olika tjänster på nätet. Folk tenderar nämligen att använda samma lösenord på flera olika sajter och tjänster. Förövaren provar sig fram. Är dina inloggningsuppgifter på vift? Det kan du kolla upp på Have I Been Pwned.

Hur trendar säkerhetsläget hos er just nu? Är det många liknande fall med kapade konton och falska auktioner i cirkulation?
– En marknadsplats av Traderas storlek lockar dessvärre alltid till sig personer med oärliga intentioner. Vi har idag mycket färre incidenter av detta slag än tidigare.

Enligt Niclas Hjelm har Tradera en nollvision när det gäller kontokapningar.

– Vi kommer däremot inte att nöja oss innan siffran är noll. En kontokapning föranleds oftast med någon form av "social engineering", alternativt att användarens inloggningsuppgifter redan är äventyrade genom läckor från andra tjänster på internet. Vi gör därför ständiga förbättringar för att göra det ännu svårare att utnyttja systemet eller användare.

När vi berättar för Fredrik om de kommande förbättringarna kring säkerheten blir han glad, men står fortfarande fast vid sin kritik.

– I dialog med kundtjänst har jag fått ett trevligt bemötande – dock med okunskap. Traderas agerande visar på en bristfällig process kring hantering av säkerhetsfrågor och persondata. Förutom administrativa brister verkar ett antal tekniska säkerhetsmissar finnas, där den värsta är bristande kontroll över enheter som har åtkomst till kontot.